你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

启用了 Azure Arc 的 Kubernetes 的网络要求

  • 项目

本主题介绍了将 Kubernetes 群集连接到 Azure Arc 并支持各种已启用 Arc 的 Kubernetes 方案的网络要求。

详细信息

通常,连接要求包括以下原则:

  • 除非另有说明,否则所有连接都是 TCP 连接。
  • 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
  • 除非另有说明,否则所有连接都是出站连接。

若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。

重要

Azure Arc 代理需要 https://:443 上的以下出站 URL 才能运行。 对于 *.servicebus.windows.net,需要为防火墙和代理上的出站访问启用 websocket。

终结点 (DNS) 说明
https://management.azure.com 代理需要该终结点才可连接到 Azure 并注册群集。
https://<region>.dp.kubernetesconfiguration.azure.com 代理的数据平面终结点,用于推送状态和提取配置信息。
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 提取和更新 Azure 资源管理器令牌所需的终结点。
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 拉取 Azure Arc 代理的容器映像所需的终结点。
https://gbl.his.arc.azure.com 需要用于获取区域终结点,以便拉取系统分配的托管标识证书。
https://*.his.arc.azure.com 拉取系统分配的托管标识证书时必需。
https://k8connecthelm.azureedge.net az connectedk8s connect 使用 Helm 3 在 Kubernetes 群集上部署 Azure Arc 代理。 Helm 客户端下载需要此终结点来帮助部署代理 helm 图表。
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 针对基于连接位置的场景。
*.servicebus.windows.net 针对基于连接位置的场景。
https://graph.microsoft.com/ 在配置 Azure RBAC 时是必需的。
*.arc.azure.net 在 Azure 门户中管理连接的群集时是必需的。
https://<region>.obo.arc.azure.com:8084/ 在配置群集连接功能时是必需的。
dl.k8s.io 在启用自动代理升级时是必需的。

若要将 *.servicebus.windows.net 通配符转换为特定终结点,请使用以下命令:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 eastus2

例如:*.<region>.arcdataservices.com 应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com

要查看所有区域的列表,请运行以下命令:

az account list-locations -o table

Get-AzLocation | Format-Table

额外终结点

根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点:

有关 Azure ARC 功能和已启用 Azure ARC 的服务的网络要求的完整列表,请参阅 Azure ARC 网络要求

后续步骤